OpenId Connect 将身份验证添加到 OAuth2 协议。OAuth2 是一种用于授权的协议。但是,如果我只对验证用户感兴趣怎么办?在阅读了 OpenId Connect 之后,看起来您在成功时会同时收到一个 ID 令牌和一个访问令牌。但是,如果我不关心这里的授权怎么办。我可以从协议中省略访问令牌吗?如果我只对身份验证感兴趣(例如 SAML),是否有更好的协议可供使用?
仅使用 OpenId Connect 进行身份验证
信息安全
验证
oauth
授权
开放式连接
2021-09-04 11:05:15
1个回答
看起来我在访问令牌上找到了答案:
用户信息端点
应该注意的是,客户端不需要使用访问令牌,因为 ID 令牌包含处理身份验证事件的所有必要信息。但是,为了提供与 OAuth 的兼容性并匹配并行授权身份和其他 API 访问的一般趋势,OpenID Connect 总是在 OAuth 访问令牌旁边发布 ID 令牌。